Se c começar com um ‘ ^ ‘, os seguintes caracteres especificarão um nome de comando cujos processos devem ser ignorados (excluídos).

Se c começa e termina com uma barra (‘ / ‘), os caracteres entre as barras são interpretados como uma expressão regular. Os metacaracteres do shell na expressão regular devem ser citados para impedir sua interpretação pelo shell. A barra de fechamento pode ser seguida por estes modificadores:

A especificação de comando simples é testada primeiro. Se esse teste falhar, a expressão regular do comando será aplicada. Se o teste de comando simples for bem-sucedido, o teste de expressão regular do comando não será realizado. Isso pode resultar em mensagens “nenhum comando encontrado para regex:” quando a opção -s -V de lsof é especificada.

Observe que muitos dialetos do UNIX não fornecem todos os caracteres do nome do comando para lsof nos arquivos e estruturas a partir dos quais lsof obtém o nome do comando. Frequentemente, os dialetos limitam o número de caracteres fornecidos nessas fontes. Por exemplo, o Linux 2.4.27 e o Solaris 9 limitam o comprimento do nome do comando a 16 caracteres.

Se w for zero (‘ 0 ‘), todos os caracteres de comando fornecidos a lsof pelo dialeto UNIX serão impressos.

Se w for menor que o comprimento do título da coluna, “COMANDO”, ele será aumentado para esse comprimento.

O processamento da opção + d não segue os links simbólicos dentro de s , a menos que a opção -x ou -xl também seja especificada. Também não procura arquivos abertos nos pontos de montagem do sistema de arquivos nos subdiretórios s , a menos que a opção -x ou -xf também seja especificada.

Nota: a autoridade do usuário desta opção a limita a procurar arquivos que o usuário tem permissão para examinar com a função stat do sistema.

A lista é uma lista de exclusão se todas as entradas do conjunto começarem com ‘ ^ ‘. É uma lista de inclusão se nenhuma entrada começar com ‘ ^ ‘. Listas mistas não são permitidas.

Um intervalo de número de descritor de arquivo pode estar no conjunto desde que nenhum membro esteja vazio, ambos os membros sejam números e o membro final seja maior que o inicial – por exemplo, ” 0-7 ” ou ” 3-10 “. As faixas podem ser especificadas para exclusão se elas tiverem o prefixo ‘ ^ ‘ – por exemplo, ” ^ 0-7 ” exclui todos os descritores de arquivo de 0 a 7 .

Vários números de descritores de arquivos são unidos em um único conjunto ORed antes de participar da seleção da opção AND.

Quando há membros de exclusão e inclusão no conjunto, lsof os relata como erros e sai com um código de retorno diferente de zero.

O processamento da opção + D não segue os links simbólicos em D , a menos que a opção -x ou -x l também seja especificada. Também não procura arquivos abertos nos pontos de montagem do sistema de arquivos nos subdiretórios D , a menos que a opção -x ou -x f também seja especificada.

Nota: a autoridade do usuário desta opção a limita a procurar arquivos que o usuário tem permissão para examinar com a função stat do sistema.

Nota adicional: lsof pode processar esta opção lentamente e requer uma grande quantidade de memória dinâmica para fazê-lo. Isso ocorre porque ele deve descer a árvore de diretórios inteira, com raiz em D , chamando stat para cada arquivo e diretório , criando uma lista de todos os arquivos encontrados e pesquisando nessa lista uma correspondência com todos os arquivos abertos. Quando o diretório D é grande, essas etapas podem levar muito tempo, portanto, use essa opção com prudência.

-D deve ser seguido por uma letra de função; a letra da função pode opcionalmente ser seguida por um nome de caminho. lsof reconhece estas letras de função:

As funções b , re u , acompanhadas por um nome de caminho, às vezes são restritas. Quando essas funções são restritas, elas não aparecerão na descrição da opção -D que acompanha -h ou -? saída de opção.

O ? A função relata os caminhos de somente leitura e gravação que lsof pode usar para o arquivo de cache do dispositivo, os nomes de quaisquer variáveis ​​de ambiente cujos valores lsof examinarão ao formar o caminho do arquivo de cache do dispositivo e o formato do caminho do arquivo de cache pessoal do dispositivo.

Quando disponíveis, as funções b , re u podem ser seguidas pelo caminho do arquivo em cache do dispositivo. O padrão padrão é .lsof_hostname no diretório inicial do ID do usuário real que executa lsof, mas isso pode ter sido alterado quando lsof foi configurado e compilado. A saída do -h e -? As opções mostram o prefixo padrão atual – por exemplo, ” .lsof “. O sufixo, nome do host, é o primeiro componente do nome do host retornado por gethostname .

Quando disponível, a função b direciona lsof para criar um novo arquivo de cache do dispositivo no caminho padrão ou especificado.

A função i instrui o lsof a ignorar o arquivo de cache do dispositivo padrão e obter suas informações sobre os dispositivos por meio de chamadas diretas ao kernel.

A função r direciona lsof para ler o cache do dispositivo no caminho padrão ou especificado, mas impede a criação de um novo arquivo de cache do dispositivo quando não existe ou o existente está incorretamente estruturado. A função r , quando especificada sem um nome de caminho, impede que lsof atualize um arquivo de cache de dispositivo incorreto ou desatualizado ou crie um novo em seu lugar. A função r está sempre disponível quando é especificada sem um argumento de nome de caminho; pode ser restringido pelas permissões do processo lsof .

Quando disponível, a função u instrui lsof para ler o arquivo de cache do dispositivo no caminho padrão ou especificado, se possível, e para recriá-lo, se necessário. Essa é a função padrão do arquivo de cache do dispositivo quando nenhuma opção -D foi especificada.

Esta opção está atualmente implementada apenas para Linux.

CUIDADO: essa opção pode ser facilmente aplicada incorretamente a outro sistema que não seja o sistema de arquivos de interesse, porque usa o nome do caminho em vez dos números de dispositivo e inode mais confiáveis. Os números de dispositivo e inode são adquiridos através da chamada de kernel stat potencialmente bloqueadora e, portanto, não estão disponíveis, mas consulte o + | -m m como uma maneira alternativa possível de fornecer números de dispositivos. Use esta opção com muito cuidado e especifique completamente o nome do caminho do sistema de arquivos a ser isento.

Quando são relatados arquivos abertos em sistemas de arquivos isentos, talvez não seja possível obter todas as informações. Portanto, algumas colunas de informações ficarão em branco, os caracteres “UNKN” precedem os valores na coluna TYPE e a opção de isenção aplicável é adicionada entre parênteses ao final da coluna NAME. Algumas informações de número de dispositivo podem ser disponibilizadas via + | opção -m m .

Normalmente, um argumento de nome de caminho é considerado um nome de sistema de arquivos se corresponder a um nome de diretório montado relatado por mount ou se representar um dispositivo de bloco, nomeado na saída de montagem e associado a um nome de diretório montado. Quando + f é especificado, todos os argumentos do nome do caminho serão considerados como nomes de sistema de arquivos e lsof reclamará se não houver. Isso pode ser útil, por exemplo, quando o nome do sistema de arquivos (o dispositivo montado) não é um dispositivo de bloco. Isso acontece em alguns sistemas de arquivos CD-ROM.

Quando -f é especificado por si só, todos os argumentos do nome do caminho serão considerados arquivos simples. Assim, por exemplo, os argumentos ” -f – / ” direcionam lsof para procurar arquivos abertos com um nome de caminho ‘ / ‘, nem todos os arquivos abertos no sistema de arquivos ‘ / ‘ (raiz).

Tenha cuidado para garantir que + f e -f sejam finalizados corretamente e não sejam seguidos por um caractere (por exemplo, do arquivo ou nome do sistema de arquivos) que possa ser usado como parâmetro. Por exemplo, use ” – ” após + f e -f, como nesses exemplos.

  $ lsof + f - / arquivo / sistema / nome

  $ lsof -f - / arquivo / nome

A listagem de informações das estruturas de arquivos do kernel, solicitadas com o formulário de opção + f [ cfgGn ], é normalmente inibida e não está disponível no todo ou em parte para alguns dialetos – por exemplo, kernels do Linux baseados em / proc abaixo de 2.6.22. Quando o prefixo f é um sinal de adição (‘ + ‘), esses caracteres solicitam informações sobre a estrutura do arquivo:

Quando o prefixo é menos (‘ – ‘), os mesmos caracteres desabilitam a listagem dos valores indicados.

Endereços de estrutura de arquivo, contagens de uso, sinalizadores e endereços de nó podem ser usados ​​para detectar arquivos mais facilmente idênticos herdados por processos filhos e arquivos idênticos em uso por diferentes processos. A saída da coluna lsof pode ser classificada por colunas de saída contendo os valores e listadas para identificar o uso idêntico do arquivo, ou a saída do campo lsof pode ser analisada por um script pós-filtro AWK ou Perl ou por um programa C.

Quando a lista de caracteres de seleção de campo está vazia, todos os campos padrão são selecionados (exceto o campo bruto do dispositivo, o contexto de segurança e o campo da zona por motivos de compatibilidade) e o terminador de campo NL é usado.

Quando a lista de caracteres de seleção de campo contém apenas um zero (‘0’), todos os campos são selecionados (exceto o campo bruto do dispositivo por motivos de compatibilidade) e o caractere terminador NUL é usado.

Outras combinações de campos e seu caractere terminador de campo associado devem ser configurados com entradas explícitas em f .

Quando um caractere de seleção de campo identifica um item que normalmente não é listado – por exemplo, PPID, selecionado com -R – a especificação do caractere de campo – por exemplo, ” -FR ” – também seleciona a listagem do item.

Quando a lista de caracteres de seleção de campo contém o único caractere ‘ ? ‘, lsof exibe uma lista de ajuda dos caracteres de identificação do campo. Escapar do ‘ ? ‘como seu shell requer.

Os números PGID que começam com ‘ ^ ‘ (negação) representam exclusões.

Vários números PGID são unidos em um único conjunto ORed antes de participar da seleção da opção AND. No entanto, as exclusões de PGID são aplicadas sem ORing ou ANDing e entram em vigor antes que outros critérios de seleção sejam aplicados.

A opção -g também permite a exibição dos números PGID de saída. Quando especificado sem um conjunto PGID, é tudo o que faz.

Se -i4 ou -i6 for especificado sem o seguinte endereço, apenas os arquivos da versão IP indicada, IPv4 ou IPv6, serão exibidos. Uma especificação IPv6 pode ser usada apenas se os dialetos suportarem IPv6, conforme indicado por ” [46] ” e ” IPv [46] ” em lsof ‘s -h ou -? resultado. Especificar sequencialmente -i4 , seguido por -i6 é o mesmo que especificar -i e vice-versa. Especificar -i4 ou -i6 após -i é o mesmo que especificar -i4 ou -i6 por si só.

Vários endereços (até um limite de 100) podem ser especificados com várias opções -i . Um número de porta ou intervalo de nomes de serviço é contado como um endereço. Eles são unidos em um único conjunto ORed antes de participar da seleção da opção AND.

Um endereço da Internet é especificado no formulário (os itens entre colchetes são opcionais):

  [4 | 6] [ protocolo ] [@ nome do host |  hostaddr ] [: serviço |  porta ]

As opções IPv6 podem ser usadas apenas se o dialeto UNIX suportar IPv6. Para ver se o dialeto suporta IPv6, execute lsof e especifique -h ou -? opção (ajuda). Se a descrição exibida da opção -i contiver ” [46] ” e ” IPv [46] “, o IPv6 será suportado.

Os nomes de host e endereços IPv4 podem não ser especificados se a seleção de arquivo de rede for limitada a IPv6 com -i 6. Os nomes de host e endereços IPv4 podem não ser especificados se a seleção de arquivo de rede for limitada a IPv4 com -i 4. Quando o endereço de um arquivo de rede IPv4 aberto for mapeado em um endereço IPv6, o tipo de arquivo aberto será IPv6, não IPv4, e sua exibição será selecionada por ‘ 6 ‘, não por ‘ 4 ‘.

Pelo menos um componente de endereço – 4 , 6 , protocolo , nome do host , hostaddr ou serviço – deve ser fornecido. O caractere ‘ @ ‘, liderando a especificação do host, é sempre necessário; como é o ‘ : ‘, liderando a especificação da porta. Especifique o nome do host ou o hostaddr. Especifique a lista de nomes de serviço ou a lista de números de porta. Se uma lista de nomes de serviço for especificada, o protocolo também poderá precisar ser especificado se os números de porta TCP, UDP e UDPLITE para o nome do serviço forem diferentes. Use qualquer caixa – inferior ou superior – para o protocolo.

Os nomes de serviço e os números de porta podem ser combinados em uma lista cujas entradas são separadas por vírgulas e cujas entradas de intervalo numérico são separadas por sinais de menos. Pode não haver espaços incorporados e todos os nomes de serviço devem pertencer ao protocolo especificado. Como os nomes de serviço podem conter sinais de menos incorporados, a entrada inicial de um intervalo não pode ser um nome de serviço; no entanto, pode ser um número de porta.

Aqui estão alguns exemplos de endereços:

Quando -K e -a são especificados e as tarefas de um processo principal são selecionadas por outras opções, o processo principal também será listado como se fosse uma tarefa, mas sem um ID de tarefa.

Quando + L for especificado sem um número a seguir, todas as contagens de links serão listadas. Quando -L for especificado (o padrão), nenhuma contagem de links será listada.

Quando + L é seguido por um número, apenas os arquivos com uma contagem de links menor que esse número serão listados (nenhum número pode seguir -L ). Uma especificação no formato ” + L1 ” selecionará arquivos abertos que foram desvinculados. Uma especificação no formato ” + aL1 <sistema de arquivos> ” selecionará arquivos abertos não vinculados no sistema de arquivos especificado.

Para outras comparações de contagem de links, use a saída de campo ( -F ) e um script ou programa de pós-processamento.

A opção form -m m especifica um arquivo de memória do kernel, m , no lugar de / dev / kmem ou / dev / mem – por exemplo, um arquivo de despejo de memória .

A opção form + m solicita que um arquivo de suplemento de montagem seja gravado no arquivo de saída padrão. Todas as outras opções são ignoradas silenciosamente.

Haverá uma linha no arquivo de suplemento de montagem para cada sistema de arquivos montado, contendo o diretório do sistema de arquivos montado, seguido por um único espaço, seguido pelo número do dispositivo no formato hexadecimal ” 0x ” – por exemplo,

  / 0x801

O lsof pode usar o arquivo de suplemento mount para obter números de dispositivos para sistemas de arquivos quando não puder obtê-los via stat ou lstat .

O formulário de opção + m m identifica m como um arquivo de suplemento de montagem.

Nota: as opções + me + m m não estão disponíveis para todos os dialetos suportados. Verifique a saída de lsof’s -h ou -? opções para ver se as opções + me + m m estão disponíveis.

O modo de relatório padrão é definido pelo construtor lsof com o HASPMAPENABLED #define no arquivo de cabeçalho machine.h do dialeto; lsof é distribuído com o HASPMAPENABLED #define desativado, portanto, o relatório do portmapper é desativado por padrão e deve ser solicitado com + M. Especificando lsof ‘s -h ou -? A opção reportará o modo padrão. Desabilitar o registro do portmapper quando ele já estiver desativado ou ativá-lo quando já estiver ativado é aceitável. Quando o relatório de registro do portmapper está ativado, lsof exibe o registro do portmapper (se houver) para portas TCP , UDP ou UDPLITE locais entre colchetes imediatamente após os números das portas ou nomes de serviço – por exemplo, ” : 1234 [name] ” ou ” : name [ 100083] “. As informações de registro podem ser um nome ou número, dependendo do que o programa de registro forneceu ao portmapper quando ele registrou a porta.

Quando o relatório de registro do portmapper está ativado, lsof pode ser executado um pouco mais lentamente ou até ficar bloqueado quando o acesso ao portmapper fica congestionado ou parado. Inverta o modo de relatório para determinar se o relatório de registro do portmapper está diminuindo ou bloqueando lsof .

Para fins de relatório de registro do portmapper, lsof considera uma porta TCP, UDP ou UDPLITE local, se for encontrada na parte local de sua estrutura de kernel; ou se ele estiver localizado na parte externa de sua estrutura de kernel que contém e os endereços da Internet locais e estrangeiros são os mesmos; ou se ele estiver localizado na parte externa da estrutura do kernel que o contém e o endereço da Internet externo for INADDR_LOOPBACK ( 127.0.0.1 ). Essa regra pode fazer com que o lsof ignore algumas portas estrangeiras em máquinas com várias interfaces quando o endereço da Internet externo estiver em uma interface diferente da local.

O relatório de registro do Portmapper é suportado apenas em dialetos que possuem arquivos de cabeçalho RPC. Algumas distribuições Linux com GlibC 2.14 não as possuem. Quando o relatório de registro do portmapper é suportado, o -h ou -? saída de ajuda mostrará o + | Opção -M .

As opções -o e -s são mutuamente exclusivas; eles não podem ser especificados. Quando nenhum é especificado, lsof exibe qualquer valor (tamanho ou deslocamento) que seja apropriado e disponível para o tipo de arquivo.

Esta opção NÃO direciona lsof para exibir o deslocamento o tempo todo; especifique -o (sem um número à direita) para fazer isso. -o o especifica apenas o número de dígitos após ” 0t ” no tamanho misto e na saída offset ou somente offset. Assim, por exemplo, para direcionar lsof para exibir o deslocamento todo o tempo com uma contagem de dígitos decimais de 10, use:

  -o -o 10

ou

  -oo10

O número padrão de dígitos permitido após ” 0t ” é normalmente 8 , mas pode ter sido alterado pelo construtor lsof . Consulte a descrição da opção -o o na saída da opção -h ou -? opção para determinar o padrão em vigor.

Embora o uso dessa opção reduza a sobrecarga da inicialização, ele também poderá travar a interrupção quando o kernel não responder a uma função. Use esta opção com cuidado.

Os números PID que começam com ‘ ^ ‘ (negação) representam exclusões.

Vários números de identificação do processo são unidos em um único conjunto ORed antes de participar da seleção da opção AND. No entanto, exclusões de PID são aplicadas sem ORing ou ANDing e entram em vigor antes que outros critérios de seleção sejam aplicados.

Se o prefixo for um ‘ – ‘, o modo de repetição é interminável. Lsof deve ser finalizado com um sinal de interrupção ou saída.

Se o prefixo for ‘ + ‘, o modo de repetição encerrará o primeiro ciclo e nenhum arquivo aberto será listado – e, é claro, quando lsof for parado com um sinal de interrupção ou saída . Quando o modo de repetição termina porque nenhum arquivo está listado, o código de saída do processo será zero se algum arquivo aberto tiver sido listado; um, se nenhum deles já foi listado.

lsof marca o final de cada listagem: se a saída do campo estiver em andamento (a opção -F foi especificada), o marcador padrão é ‘ m ‘; caso contrário, o marcador padrão é ” ======== “. O marcador é seguido por um caractere NL.

O argumento opcional ” m <fmt> ” especifica um formato para a linha do marcador. Os caracteres <fmt> após ‘ m ‘ são interpretados como uma especificação de formato para a função strftime , quando ela e a função localtime estão disponíveis na biblioteca C do dialeto. Consulte a documentação do strftime para saber o que pode aparecer em sua especificação de formato. Observe que quando a saída do campo é solicitada com a opção -F , <fmt> não pode conter o formato NL, ” % n “. Observe também que quando <fmt> contém espaços ou outros caracteres que afetam a interpretação dos argumentos do shell, <fmt> deve ser citado adequadamente.

O modo de repetição reduz lsof sobrecarga de inicialização, portanto, é mais eficiente usar esse modo do que chamar lsof repetidamente de um script de shell, por exemplo.

Para usar o modo de repetição com mais eficiência, acompanhe + | -r com especificação de outras opções de seleção lsof, para que a quantidade de acesso à memória do kernel lsof seja mantida no mínimo. As opções que filtram no nível do processo – por exemplo, -c , -g , -p , -u – são os seletores mais eficientes.

O modo de repetição é útil quando associado à saída do campo (consulte -F , descrição da opção) e um awk ou script de Perl supervisionado ou um programa em C.

Quando seguido por um nome de protocolo ( p ), TCP ou UDP , dois pontos (‘ : ‘) e uma lista de nomes de estado de protocolo separados por vírgula, a opção faz com que arquivos TCP e UDP abertos sejam excluídos se os nomes de estado estão nas listas precedidas por um ‘ ^ ‘; ou incluído se seus nomes não forem precedidos por um ‘ ^ ‘.

Quando uma lista de inclusão é definida, apenas os arquivos de rede com nomes de estado na lista estarão presentes na saída lsof. Assim, especificar um nome de estado significa que apenas os arquivos de rede com esse nome de estado único serão listados.

O caso não é importante nos nomes de protocolo ou estado, mas pode não haver espaços e os dois pontos (‘ : ‘) separando o nome do protocolo ( p ) e a ( s ) lista ( s ) de nomes de estado são necessários.

Se apenas os arquivos TCP e UDP forem listados, conforme controlado pelas exclusões e inclusões especificadas, a opção -i também deverá ser especificada. Se apenas os arquivos de um protocolo forem listados, adicione seu nome como argumento à opção -i .

Por exemplo, para listar apenas arquivos de rede com o estado TCP LISTEN, use:

  -iTCP -sTCP: LISTEN

Ou, por exemplo, para listar arquivos de rede com todos os estados UDP, exceto ocioso, use:

  -iUDP -sUDP: ocioso

Os nomes dos estados variam com os dialetos UNIX, portanto, não é possível fornecer uma lista completa. Alguns nomes de estado TCP comuns são: CLOSED, IDLE, BOUND, LISTEN, ESTABLISHED, SYN_SENT, SYN_RCDV, ESTABLISHED, CLOSE_WAIT, FIN_WAIT1, CLOSING, LAST_ACK, FIN_WAIT_2 e TIME_WAIT. Dois nomes de estado UDP comuns são Não vinculados e Inativos.

As opções -o (sem uma contagem de dígitos decimais seguintes) e -s (sem um protocolo e lista de nomes de estados a seguir) são mutuamente exclusivas; eles não podem ser especificados. Quando nenhum é especificado, lsof exibe qualquer valor – tamanho ou deslocamento – é apropriado e disponível para o tipo de arquivo. Como alguns tipos de arquivos não possuem tamanhos verdadeiros (soquetes, FIFOs , pipes etc.), lsof exibe para seus tamanhos a quantidade de conteúdo em seus buffers de kernel associados, se possível.

  <Nome do estado TCP ou TPI>

  QR = <comprimento da fila de leitura>

  QS = <comprimento da fila de envio>

  SO = <opções e valores de soquete>

  SS = <estados do soquete>

  TF = <sinalizadores e valores TCP>

  WR = <comprimento da leitura da janela>

  WW = <comprimento de gravação da janela>

Nem todos os valores são relatados para todos os dialetos do UNIX. Os valores dos itens (quando disponíveis) são relatados após o nome do item e ‘ = ‘.

Quando o modo de saída do campo está em vigor (consulte SAÍDA PARA OUTROS PROGRAMAS), cada item aparece como um campo com o caractere inicial ‘ T ‘.

-T sem os seguintes caracteres-chave desativa o relatório de informações de TCP / TPI.

-T com os seguintes caracteres seleciona o relatório de informações específicas de TCP / TPI:

Nem todas as seleções estão ativadas para alguns dialetos UNIX. O estado pode ser selecionado para todos os dialetos e é relatado por padrão. O -h ou -? A saída de ajuda para a opção -T mostrará quais seleções podem ser usadas com o dialeto UNIX.

Quando -T é usado para selecionar informações (isto é, é seguido por um ou mais caracteres de seleção), a exibição do estado é desativada por padrão e deve ser explicitamente selecionada novamente nos caracteres após -T . Com efeito, então, o padrão é equivalente a -Ts . Por exemplo, se desejar comprimento e estado da fila, use -Tqs .

Opções de soquete, estados de soquete, alguns valores de soquete, sinalizadores TCP e um valor TCP podem ser relatados (quando disponíveis no dialeto UNIX) na forma dos nomes que geralmente aparecem após SO_ , so_ , SS_ , TCP_ e TF_ no cabeçalho do dialeto arquivos – geralmente <sys / socket.h> , <sys / socketvar.h> e <netinet / tcp_var.h> . Consulte esses arquivos de cabeçalho para obter o significado dos sinalizadores, opções, estados e valores.

” SO = ” precede opções e valores de soquete; ” SS = “, estados do soquete; and ” TF= “, TCP flags and values.

If a flag or option has a value, the value will follow an ‘ = ‘ and the name — eg, ” SO=LINGER=5 “, ” SO=QLIM=5 “, ” TF=MSS=512 “. The following seven values may be reported:

Multiple login names or user ID numbers are joined in a single ORed set before participating in AND option selection.

If a login name or user ID is preceded by a ‘ ^ ‘, it becomes a negation — ie, files of processes owned by the login name or user ID will never be listed. A negated login name or user ID selection is neither ANDed nor ORed with other selections; it is applied before all other selections and absolutely excludes the listing of the files of the process. For example, to direct lsof to exclude the listing of files belonging to root processes, specify ” -u^root ” or ” -u^0 “.

When other options are ANDed to search options, or compile-time options restrict the listing of some files, lsof may not report that it failed to find a search item when an ANDed option or compile-time option prevents the listing of the open file containing the located search item.

For example, ” lsof -V -iTCP@foobar -a -d 999 ” may not report a failure to locate open files at ” TCP@foobar ” and may not list any, if none have a file descriptor number of 999. A similar situation arises when HASSECURITY and HASNOSOCKSECURITY are defined at compile time and they prevent the listing of open files.

The lsof builder may choose to have warning messages disabled or enabled by default. The default warning message state is indicated in the output of the -h or -? opção. Disabling warning messages when they are already disabled or enabling them when already enabled is acceptable.

The -t option selects the -w option.

If -x is specified by itself without a following parameter, crossover processing of both symbolic links and file system mount points is enabled. Note that when -x is specified without a parameter, the next argument must begin with ‘ – ‘ or ‘ + ‘.

The optional ‘ f ‘ parameter enables file system mount point crossover processing; ‘ l ‘, symbolic link crossover processing.

The -x option may not be supplied without also supplying a +d or +D option.

AIX:

This IBM AIX RISC/System 6000 option requests the reporting of executed text file and shared library references.

WARNING: because this option uses the kernel readx() function, its use on a busy AIX system might cause an application process to hang so completely that it can neither be killed nor stopped.

By default, use of readx() is disabled. On AIX 5L and above, lsof may need setuid-root permission to perform the actions this option requests.

The lsof builder may specify that the -X option be restricted to processes whose real UID is root. If that has been done, the -X option will not appear in the -h or -? help output unless the real UID of the lsof process is root. The default lsof distribution allows any UID to specify -X , so by default it will appear in the help output.

When AIX readx() use is disabled, lsof may not be able to report information for all text and loader file references, but it may also avoid exacerbating an AIX kernel directory search kernel error, known as the Stale Segment ID bug.

The readx() function, used by lsof or any other program to access some sections of kernel virtual memory, can trigger the Stale Segment ID bug. It can cause the kernel’s dir_search() function to believe erroneously that part of an in-memory copy of a file system directory has been zeroed. Another application process, distinct from lsof , asking the kernel to search the directory — eg, by using open — can cause dir_search() to loop forever, thus hanging the application process.

Linux:

This Linux option requests that lsof skip the reporting of information on all open TCP, UDP and UDPLITE IPv4 and IPv6 files.

This Linux option is most useful when the system has an extremely large number of open TCP, UDP and UDPLITE files, the processing of whose information in the /proc/net/tcp* and /proc/net/udp* files would take lsof a long time, and whose reporting is not of interest.

Use this option with care and only when you are sure that the information you want lsof to display isn’t associated with open TCP, UDP or UDPLITE socket files.

Solaris 10 and above:

This Solaris 10 and above option requests the reporting of cached paths for files that have been deleted — ie, removed with rm or unlink .

The cached path is followed by the string ” (deleted) ” to indicate that the path by which the file was opened has been deleted.

Because intervening changes made to the path — ie, renames with mv or rename — are not recorded in the cached path, what lsof reports is only the path by which the file was opened, not its possibly different final path.

Without a following argument — eg, no z — the option specifies that zone names are to be listed in the ZONE output column.

A opção -z pode ser seguida por um nome de zona, z . Isso faz com que lsof liste apenas arquivos abertos para processos nessa zona. Vários pares de opções e argumentos -z z podem ser especificados para formar uma lista de zonas nomeadas. Qualquer arquivo aberto de qualquer processo em qualquer uma das zonas será listado, sujeito a outras condições especificadas por outras opções e argumentos.

Sem o argumento a seguir – por exemplo, sem Z – a opção especifica que os contextos de segurança devem ser listados na coluna de saída SECURITY-CONTEXT.

A opção -Z pode ser seguida por um nome de contexto de segurança curinga, Z. Isso faz com que lsof liste apenas arquivos abertos para processos nesse contexto de segurança. Vários pares de opções e argumentos -Z Z podem ser especificados para formar uma lista de contextos de segurança. Qualquer arquivo aberto de qualquer processo em qualquer um dos contextos de segurança será listado, sujeito a outras condições especificadas por outras opções e argumentos. Observe que Z pode ser A: B: C ou *: B: C ou A: B: * ou *: *: C para corresponder ao contexto A: B: C.

Se um nome for o diretório montado de um sistema de arquivos ou o dispositivo do sistema de arquivos, lsof listará todos os arquivos abertos no sistema de arquivos. Para ser considerado um sistema de arquivos, o nome deve corresponder a um nome de diretório montado na saída de montagem ou corresponder ao nome de um dispositivo de bloco associado a um nome de diretório montado. O + | A opção -f pode ser usada para forçar lsof a considerar um nome como identificador do sistema de arquivos ( + f ) ou como um arquivo simples ( -f ).

Se name é o caminho para um diretório que não é o nome de diretório montado em um sistema de arquivos, ele é tratado da mesma maneira que um arquivo regular – ou seja, sua listagem é restrita a processos que o abrem como um arquivo ou como um diretório específico do processo, como o diretório raiz ou de trabalho atual. Para solicitar que lsof procure arquivos abertos dentro de um nome de diretório, use as opções + d s e + D D.

Se um nome é o nome base de uma família de arquivos multiplexados – e. g, / dev / pt [ cs ] do AIX – lsof listará todos os arquivos multiplexados associados no dispositivo que estão abertos – por exemplo, / dev / pt [ cs ] / 1 , / dev / pt [ cs ] / 2 , etc.

Se um nome é um nome de soquete de domínio UNIX, o lsof geralmente o procura apenas pelos caracteres do nome – exatamente como ele é especificado e é registrado na estrutura de soquete do kernel. Consulte o próximo parágrafo para obter uma exceção a essa regra para Linux. A especificação de um caminho relativo – por exemplo, ./file – no lugar do caminho absoluto do arquivo – por exemplo, / tmp / file – não funcionará porque lsof deve corresponder aos caracteres especificados com o que é encontrado nas estruturas de soquete de domínio UNIX do kernel.

Se um nome for um nome de soquete de domínio Linux UNIX, em um caso, lsof poderá procurá-lo por seu número de dispositivo e inode, permitindo que o nome seja um caminho relativo. O caso requer que o caminho absoluto – ou seja, um começando com uma barra (‘ / ‘) seja usado pelo processo que criou o soquete e, portanto, seja armazenado no arquivo / proc / net / unix ; e exige que lsof seja capaz de obter o número do dispositivo e do nó do caminho absoluto em / proc / net / unix e o nome por meio de chamadas bem-sucedidas do sistema stat . Quando essas condições forem atendidas, lsof poderá procurar o soquete do domínio UNIX quando algum caminho para ele for especificado no nome. Assim, por exemplo, se o caminho for / dev / log e uma pesquisa lsof for iniciada quando o diretório de trabalho for / dev , o nome poderá ser ./log .

Se um nome não estiver acima, lsof listará todos os arquivos abertos cujo dispositivo e inode correspondem ao nome do caminho especificado.

Se você também especificou a opção -b , os únicos nomes que você pode especificar com segurança são os sistemas de arquivos para os quais sua tabela de montagem fornece números de dispositivos alternativos.

Vários nomes de arquivos são unidos em um único conjunto ORed antes de participar da seleção da opção AND.

Se w for menor que o comprimento do título da coluna, ” COMANDO “, ele será aumentado para esse comprimento.

Se um valor zero w for especificado para a opção + cw , a coluna conterá todos os caracteres do nome do comando UNIX associado ao processo.

Todos os caracteres do nome do comando mantidos pelo kernel em suas estruturas são exibidos na saída do campo quando o descritor do nome do comando (‘ c ‘) é especificado.

Uma coluna TID em branco indica um processo – ou seja, uma não-tarefa.

FD é seguido por um desses caracteres, descrevendo o modo em que o arquivo está aberto:

O caractere de modo é seguido por um desses caracteres de bloqueio, descrevendo o tipo de bloqueio aplicado ao arquivo:

O conteúdo da coluna FD constitui um único campo para análise nos scripts de pós-processamento.

TIPO

é o tipo do nó associado ao arquivo – por exemplo, GDIR , GREG , VDIR , VREG , etc.

ou ” IPv4 ” para um soquete IPv4;

ou ” IPv6 ” para um arquivo de rede IPv6 aberto – mesmo que seu endereço seja IPv4, mapeado em um endereço IPv6;

ou ” ax25 ” para um soquete Linux AX.25;

ou ” inet ” para um soquete de domínio da Internet;

ou ” lla ” para um arquivo de acesso no nível do link HP-UX;

ou ” rte ” para um soquete AF_ROUTE;

ou ” meia ” para um soquete de domínio desconhecido;

ou ” unix ” para um soquete de domínio UNIX;

ou ” x.25 ” para um soquete HP-UX x.25;

ou ” BLK ” para um arquivo especial de bloco;

ou ” CHR ” para um arquivo especial de caractere;

ou ” DEL ” para um arquivo de mapa do Linux que foi excluído;

ou ” DIR ” para um diretório;

ou ” PORTA ” para um arquivo VDOOR;

ou ” FIFO ” para um arquivo especial FIFO;

ou ” KQUEUE ” para um arquivo de fila de eventos do kernel no estilo BSD;

ou ” LINK ” para um arquivo de link simbólico;

ou ” MPB ” para um arquivo de bloco multiplexado;

ou ” MPC ” para um arquivo de caracteres multiplexado;

ou ” NOFD ” para um diretório Linux / proc / <PID> / fd que não pode ser aberto – o caminho do diretório aparece na coluna NAME, seguido por uma mensagem de erro.

ou ” PAS ” para um arquivo / proc / as ;

ou ” PAXV ” para um arquivo / proc / auxv ;

ou ” PCRE ” para um arquivo / proc / cred ;

ou ” PCTL ” para um arquivo de controle / proc ;

ou ” PCUR ” para o processo atual / proc ;

ou ” PCWD ” para um diretório de trabalho atual / proc ;

ou ” PDIR ” para um diretório / proc ;

ou ” PETY ” para um tipo executável / proc (etype);

ou ” PFD ” para um descritor de arquivo / proc ;

ou ” PFDR ” para um diretório de descritor de arquivo / proc ;

ou ” PFIL ” para um arquivo executável / proc ;

ou ” PFPR ” para um conjunto de registros FP / proc ;

ou ” PGD ” para um arquivo / proc / pagedata ;

ou ” PGID ” para um arquivo notificador do grupo / proc ;

ou ” TUBO ” para tubos;

ou ” PLC ” para um arquivo / proc / lwpctl ;

ou ” PLDR ” para um diretório / proc / lpw ;

ou ” PLDT ” para um arquivo / proc / ldt ;

ou ” PLPI ” para um arquivo / proc / lpsinfo ;

ou ” PLST ” para um arquivo / proc / lstatus ;

ou ” PLU ” para um arquivo / proc / lusage ;

ou ” PLWG ” para um arquivo / proc / gwindows ;

ou ” PLWI ” para um arquivo / proc / lwpsinfo ;

ou ” PLWS ” para um arquivo / proc / lwpstatus ;

ou ” PLWU ” para um arquivo / proc / lwpusage ;

ou ” PLWX ” para um arquivo / proc / xregs ‘

ou ” PMAP ” para um arquivo de mapa / proc (mapa);

ou ” PMEM ” para um arquivo de imagem de memória / proc ;

ou ” PNTF ” para um arquivo notificador de processo / proc ;

ou ” POBJ ” para um arquivo / proc / object ;

ou ” PODR ” para um diretório / proc / object ;

ou ” POLP ” para um arquivo de processo leve de formato / proc antigo;

ou ” POPF ” para um arquivo PID de formato / proc antigo;

ou ” POPG ” para um antigo formato / arquivo de dados da página de proc ;

ou ” PORT ” para um pipe nomeado SYSV;

ou ” PREG ” para um arquivo de registro / proc ;

ou ” PRMP ” para um arquivo / proc / rmap ;

ou ” PRTD ” para um diretório raiz / proc ;

ou ” PSGA ” para um arquivo / proc / sigact ;

ou ” PSIN ” para um arquivo / proc / psinfo ;

ou ” PSTA ” para um arquivo de status / proc ;

ou ” PSXSEM ” para um arquivo de semáforo POSIX ;

ou ” PSXSHM ” para um arquivo de memória compartilhada POSIX;

ou ” PUSG ” para um arquivo / proc / use ;

ou ” PW ” para um arquivo / proc / watch ;

ou ” PXMP ” para um arquivo / proc / xmap ;

ou ” REG ” para um arquivo regular;

ou ” SMT ” para um arquivo de transporte de memória compartilhada;

ou ” STSO ” para um soquete de fluxo;

ou ” UNNM ” para um arquivo de tipo sem nome;

ou ” XNAM ” para um arquivo especial do OpenServer Xenix de tipo desconhecido;

ou ” XSEM ” para um arquivo de semáforo OpenServer Xenix;

ou ” XSD ” para um arquivo de dados compartilhados do OpenServer Xenix;

ou os quatro octetos de número de tipo, se o nome correspondente não for conhecido.

FILE-ADDR

contém o endereço da estrutura de arquivos do kernel quando f foi especificado para + f ;

Para dialetos que suportam um sistema de arquivos ” namefs “, permitindo que um arquivo seja anexado a outro com fattach , o lsof adicionará ” (FA: <endereço1> <direção> <endereço2> ) ” à coluna NAME. <endereço1> e <endereço2> são endereços de vnode hexadecimais. <direction> será ” < -” se <address2> tiver sido anexado a esse vnode cujo endereço é <address1> ; e ” -> ” se <endereço1> , o endereço de nó deste nó, foi anexado a <endereço2> . <endereço1> pode ser omitido se já aparecer na coluna DISPOSITIVO.

lsof pode adicionar duas notas entre parênteses à coluna NAME para arquivos abertos do Solaris 10: ” (?) ” se lsof considerar o nome do caminho com precisão questionável; e ” (excluído) ” se a opção -X tiver sido especificada e lsof detectar que o nome do caminho do arquivo aberto foi excluído.

FECHADURAS

lsof não pode relatar adequadamente a grande variedade de bloqueios de arquivos de dialeto UNIX em um único caractere. O que ele relata em um único caractere é um compromisso entre as informações que encontra no kernel e as limitações do formato de relatório.

Além disso, quando um processo contém vários bloqueios no nível de bytes em um arquivo, lsof relata apenas o status do primeiro bloqueio encontrado. Se for um bloqueio no nível de bytes, o caractere de bloqueio será relatado em letras minúsculas – ou seja, ‘ r ‘, ‘ w ‘ ou ‘ x ‘ – em vez do equivalente em maiúsculas relatado para um bloqueio de arquivo completo.

Geralmente lsof só pode relatar bloqueios mantidos por processos locais em arquivos locais. Quando um processo local define um bloqueio em um arquivo montado remotamente (por exemplo, NFS ), o host do servidor remoto geralmente registra o estado do bloqueio. Uma exceção é o Solaris – em alguns níveis de patch de 2.3 e em todas as versões acima de 2.4, o kernel Solaris registra informações sobre bloqueios remotos em estruturas locais.

O lsof tem problemas para relatar bloqueios para alguns dialetos do UNIX. Consulte a seção BUGS desta página do manual ou as FAQs lsof (A seção FAQ fornece sua localização) para obter mais informações.

SAÍDA PARA OUTROS PROGRAMAS

Quando a opção -F é especificada, lsof produz saída adequada para processamento por outro programa – por exemplo, um script awk ou Perl, ou um programa C.

Cada unidade de informação é emitida em um campo que é identificado com um caractere à esquerda e finalizado por um NL ( 012 ) (ou um NUL ( 000 ) se o caractere identificador de campo 0 (zero) for especificado). Os dados do campo seguem imediatamente após o caractere de identificação do campo e se estendem ao terminador do campo.

É possível pensar na saída do campo como conjuntos de processos e arquivos. Um conjunto de processos começa com um campo cujo identificador é ‘p’ (para identificador de processo (PID)). Ele se estende ao início do próximo campo PID ou ao início do primeiro conjunto de arquivos do processo, o que ocorrer primeiro. Incluídos no conjunto de processos estão os campos que identificam o comando, o número de identificação do grupo de processos (PGID), o número da tarefa e o número de identificação do usuário (UID) ou o nome de login.

Um conjunto de arquivos começa com um campo cujo identificador é ‘ f ‘ (para o descritor de arquivo). É seguido por linhas que descrevem o modo de acesso do arquivo, estado do bloqueio, tipo, dispositivo, tamanho, deslocamento, inode, protocolo, nome e nomes dos módulos de fluxo. Ele se estende até o início do próximo arquivo ou conjunto de processos, o que ocorrer primeiro.

Quando o terminador de campo NUL ( 000 ) for selecionado com o caractere identificador de campo 0 (zero), lsof encerra cada processo e conjunto de arquivos com um caractere NL ( 012 ).

lsof sempre produz um campo, o campo PID (‘ p ‘). Todos os outros campos podem ser declarados opcionalmente na lista de caracteres do identificador de campo que segue a opção -F . Quando um caractere de seleção de campo identifica um item que normalmente não é listado – por exemplo, PPID, selecionado com -R – a especificação do caractere de campo – por exemplo, ” -FR ” – também seleciona a listagem do item.

É inteiramente possível selecionar um conjunto de campos que não podem ser facilmente analisados ​​- por exemplo, se o campo do descritor de campos não estiver selecionado, pode ser difícil identificar conjuntos de arquivos. Para ajudar a evitar essa dificuldade, lsof suporta a opção -F ; ele seleciona a saída de todos os campos com terminadores NL (o par de opções -F0 seleciona a saída de todos os campos com terminadores NUL). Por motivos de compatibilidade, nem -F nem -F0 selecionam o campo do dispositivo bruto.

Estes são os campos que lsof produzirá. O único caractere listado primeiro é o identificador do campo.

 QR <read queue size>
QS <send queue size>
SO <socket options and values> (not all dialects)
SS <socket states> (not all dialects)
ST <connection state>
TF <TCP flags and values> (not all dialects)
WR <window read size> (not all dialects)
WW <window write size> (not all dialects)

TCP/TPI information isn’t reported for all supported UNIX dialects. The -h or -? help output for the -T option will show what TCP/TPI reporting can be requested.